Fabio Invernizzi » work

Configurazione CISCO per ADSL Alice Business

fabio — Fri, 10 Aug 2007 15:01:09 +0000

Il mese scorso ho dovuto configurare delle ADSL di telecomitalia che ci sono state fornite “naked” ovvero senza router. Fortuna che ho recuperato in giro qualche cisco 800 abbandonato (come spesso accade) in precedenti installazioni :-/ …password recovery e via.

Non ho una grande esperienza sui cisco percui ho certcato online una configurazione pronta per il classico contratto Alice Business in cui ti assegnano 8 ip statici, ma nulla. Riporto la configurazione funzionante, magaria a qualcuno pu� far comodo.

Gli ip pubblici assegnati erano: 85.40.101.240-247. Il punto-punto: 88.55.9.226.
La lan � una 192.168.1.0/24 nattata sul primo ip pubblico.

!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname inter-adsl
!
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
no aaa new-model
ip subnet-zero
no ip source-route
ip domain name inter.it
ip name-server 151.99.125.1
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.1.1 192.168.1.99
!
ip dhcp pool inter
   network 192.168.1.0 255.255.255.0
   domain-name inter.it
   dns-server 151.99.125.1
   default-router 192.168.1.1
!
!
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
interface Ethernet0
 ip address 85.40.101.241 255.255.255.248 secondary
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 no keepalive
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address 88.55.9.226 255.255.255.252
 ip nat outside
 pvc 8/35
  oam-pvc manage
  oam retry 5 5 1
  encapsulation aal5snap
 !
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet3
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet4
 no ip address
 duplex auto
 speed auto
!
ip nat pool inter 85.40.101.241 85.40.101.241 netmask 255.255.255.248
ip nat inside source list 50 pool inter overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
no ip http server
no ip http secure-server
!
access-list 50 permit 192.168.1.0 0.0.0.255
snmp-server community public RO
snmp-server enable traps tty
!
line con 0
 exec-timeout 240 0
 password inter
 login
 no modem enable
line aux 0
line vty 0 4
 exec-timeout 240 0
 password inter
 login
 length 0
!
scheduler max-task-time 5000
!
end

BTW, per quel che riguarda i punto-punto ho scoperto che se sono terminati (lato centrale) su apparati cisco ti configurano una rete /30 (netmask 255.255.255.252) e fin qu� nessun problema. Se invece ci sono apparati diversi usano una fake classe C che sul router vanno impostate appunto come /24 (netmask 255.255.255.0); da notare che sulla scheda di attivazione la netmask impostata in questo caso era 255.255.255.255.

Quindi l’interfaccia ATM risulterebbe:

interface ATM0.1 point-to-point

ip address 88.55.41.63 255.255.255.0

Rasi

fabio — Mon, 23 Apr 2007 08:36:26 +0000

Ancora malato… uff… do’ un’occhiata ai *miei* server… ma cos’� successo ieri su inter.it che c’� tutto sto’ traffico?!

Non se ne pu� pi�…

fabio — Tue, 23 Jan 2007 22:23:47 +0000

E ancora una volta � andata via la corrente… va bene che questa macchina non � in una webfarm ridondata ma porca vacca…

fabio@gnu:~$ uptime
 23:14:27 up  2:30,  1 user,  load average: 0.00, 0.06, 0.06

e altre macchine molto pi� importanti rimangono irraggiungibili perch� un cavolo di G4 non si riavvia automaticamente… possibile che non riesca a impostare il riavvio automatico al ritorno della corrente in openfirmware da Linux? Sotto mac c’� un opzione ma al primo riavvio non forzato il settaggio si perde… mah!

Sei pronto al grande schermo?

fabio — Thu, 21 Dec 2006 21:52:32 +0000

Gi� dato. Ieri sera, durante una pausa della partita, una voce decisa pubblicizza un nuovo prodotto di un operatore telefonico… grasse risate tra me e il Jamo… ultimamente ogni forma derivata dal verbo “schermare” genera ilarit� in ufficio… chiss� perch�? … Continue reading →

Guardie e Ladri

fabio — Fri, 15 Dec 2006 17:29:00 +0000

Oggi su una delle LAN che amministro ho sostituito dansguardian con squidguard… principalmente per avere una cosa un po’ pi� leggera e soprattutto non perdere traccia degli IP dei client nei log di squid. Dansguardian infatti si mette “in mezzo” come proxy in cascata tra il client e squid e quindi le connessioni su squid sono tutte dallo stesso IP.

Non avendo tempo/voglia di indagare sulla cosa ho recuperato le blacklist di dansguardian che di fatto sembrano essere nello stesso formato. La questione BL cmq si fa’ dominante… esiste qualche lista decente for free? Ho visto il pacchetto debian “chastity-list” ma non sembra molto mantenuto (Version: 0.5.20020928-8.1 ?!)

Etch su Luisito

fabio — Tue, 24 Oct 2006 23:07:44 +0000

Morto il disco di Luisito, una delle macchine che usiamo come cache per il sitone, oggi (dopo il Burlagi�) con Jamo lo abbiamo sostituito e gi� che c’ero ci ho installato “etch”.

E’ stata la mia prima “etch” :-) In effetti era qualche mese che non installavo server debian ex-novo. Purtroppo non ho provato l’installer grafico, anche perch� non avevo un mouse, ma tutto � andato liscio come al solito con debian :-) Non sono un grande estimatore di “testing”, per una serie di motivi preferisco scegliere tra stable o sid a seconda dell’uso, ma visto che ormai la “stabilit�” di etch � alle porte…

Installo sempre, se posso, da netintall e ho trovato intelligente, rispetto a sarge, il fatto che disabilitando tutto in tasksel l’installazione fosse davvero minimale: no ssh, no mailserver, ma soprattutto nulla di un sacco di roba che non avrei usato.

Alla fine di tutto, installato il necessario (apache2, icecast-server, ssh, postifix, cronolog) e un po’ di accessori (vim, munin-node, smartmontools, …) il numero dei pacchetti sulla macchina � ancora inferiore ai 200… grande! (e si potrebbe anche togliere un po’ di roba, ma non � questo il punto).

Telecom: Plug-and-Play annunciato

fabio — Mon, 23 Oct 2006 22:49:39 +0000

Ennesimo “plug-and-play” mancato di telecom.

Upgrade di tutte le linee della VPN: nuove linee e nuovi router, c’� solo da replicare una configurazione (banale?) sulle nuove macchine. Per riuscire ad avere meno down possibile dobbiamo fare lo switch in tutte le sedi contemporaneamente con ovvio sbattimento. Ovviamente ci garantiscono che basta spostare i cavi di rete e tutto funzioner�… ovviamente non ha funzionato una mazza.

Fortuna che i router sono configurati “a modino” e con l’account di default si entra sempre da console :-) … cos� un po’ di diagnostica me la sono fatta da solo e il bravo tecnico che � intervenuto ha prontamente risolto il problema. Domani altro test per vedere se stavolta � la volta buona.

BTW, ero convinto che l’MPLS garantisse la cifratura da router a router… invece “telecom docet” che viene cifrato il traffico solo tra i pop. Per non capirci nulla di security mi sa che appena possibile eliminiamo il servizio vpn-tra-i-soli-pop e la vpn me la faccio io sulle linee nude e crude.

Incident Response

fabio — Thu, 29 Jun 2006 16:15:23 +0000

Finalmente ricevo risposta ad una richiesta di delucidazioni al nostro caro ISP in seguito ad un down di alcune ore della connettivit� delle nostre macchine. Provider che vanta una delle strutture pi� all’avanguardia dal punto di vista della security, per non parlare di quanto si vantano (=si fanno pagare) della affidabilit� del loro data center (ogni hw � ridondato).

Mi sono fatto un po’ di risate… riporto un piccolo stralcio significativo:

[...]
Cause del disservizio:
I problemi riscontrati sono riconducibili ad un traffico anomalo proveniente da una delle aree del Campus, che ha portato ad un livello elevato la CPU degli apparati layer 3.
[...]

LOL!

lshw

fabio — Fri, 09 Jun 2006 17:18:32 +0000

Ogni tanto “casco dal pero” :-)

Oggi ho scoperto lshw che non fa’ altro che tirar fuori tutta una serie di info dettagliate sull’hardware che finora andavo a cercare spulciando in /proc e /sys. Moto utile!

Black-out

fabio — Tue, 30 May 2006 20:20:56 +0000

Qualche problemino in sede perch� � andata via la tensione. Tenuta dei gruppi di continuit�, a detta di chi ha assistito alla cosa, 15 secondi! Wow, come non averli :-/

Temperatura elevata (condizionatori rotti), umidit� da condensa e ora anche gruppi di continuit� inesistenti, il tutto su connettivit� (altalenante) telecom… dove altro vorreste tenere i vostri server?!

Ci si mette anche il firewall (un apple G4) che non ne vuole sapere di riavviarsi da solo quando va via la tensione… (esiste la possibilit� di impostare la cosa in OSX ma ancora non ho trovato il modo di farlo con linux :-/ )